Tcpdump 和 Wireshark 的结合使用（一）

1.Tcpdump 和Wireshark的简介

（1）Tcpdump

   我们用尽量简单的话来定义tcpdump，就是：dump the traffice on anetwork.，根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的东西之一。

    tcpdump就是一种免费的网络分析工具，尤其其提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。

（2）Wireshark

   Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

 Wireshark 是世界上最流行的网络分析工具，听说华为中兴的大部分网络工程师都在使用它，但是在Linux系统下面，我们没有这样一款图形界面的工具，为了在Linux系统下面更好的进行网络数据分析，我们一般会Tcpdump 和Wireshark结合起来，及用Tcpdump抓包，然后用Wireshark来分析。

2.Tcpdump 和 Wireshark 的使用

（1）Tcpdump

  关于Tcpdump 这个抓包工具的详细使用，请参考上一篇博文，这里只讲一下一个几个我们将要用到的命令：

  指定网卡抓包，并将包写入文件中，

  #  tcpdump  -i   eth0  -w  a.cap

  默认情况下tcpdump 对 eth0 网口抓包，我们可以使用 tcpdump -D 来列出可以使用的网口，其中any表示任意网口，lo表示本地回环网口。

   # tcpdump –D

   1.eth0                       

   2.any            

   3.lo。  

（2) Wireshark

     我们在Windows 系统中安装好 Wireshark 之后打开，打开界面如下，

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包。

3. Wireshark 抓包界面介绍

 

WireShark 主要分为这几个界面

（1）Display Filter(显示过滤器)，  用于过滤

（2）Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表

（3）Packet Details Pane(封包详细信息), 显示封包中的字段

（4）Dissector Pane(16进制数据)

（5）Miscellanous(地址栏，杂项）

下面重点介绍一下Display Filter(显示过滤器) 和 .Packet Details Pane(封包详细信息）

（1）Display Filter(显示过滤器)

   

  使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。
  过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
  

过滤器有两种，
  一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
  一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置。

过滤表达式的规则：

1.协议过滤

 比如TCP，只显示TCP协议。

2.IP 过滤

  比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，
       ip.dst==192.168.1.102, 目标地址为192.168.1.102

3.端口过滤
  tcp.port ==80,  端口为80的
  tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

4.Http模式过滤
  http.request.method=="GET",   只显示HTTP GET方法的。

5. 逻辑运算符为 AND/ OR

（2).Packet Details Pane(封包详细信息)

这个面板是我们最重要的，用来查看数据包和协议栈各层之间的关系，以及协议中的每一个字段的信息。
各行信息分别为

Frame:   物理层的数据帧概况

Ethernet II: 数据链路层以太网帧头部信息

Internet Protocol Version 4: 互联网层IP包头部信息

Transmission Control Protocol:  传输层T的数据段头部信息，此处是TCP

Hypertext Transfer Protocol:  应用层的信息，此处是HTTP协议